Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing

Mitglied: Dani

Dani (Level 5) - Jetzt verbinden

16.12.2019 um 16:30 Uhr, 1967 Aufrufe, 9 Kommentare

Hallo zusammen,
damit das neue Jahr nicht gleich wieder mit (un)bekannten Probleme beginnt.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV19 ...


Gruß,
Dani
Mitglied: pocketflo
18.12.2019 um 07:20 Uhr
Grundsätzlich gibt es den Artikel bereits länger. Spannend das Microsoft das Datum bereits 2 mal verschoben hat. Bis vor kurzem (Ende Nov.) wsr noch von mitte Januar die Rede!

Gruss
pocketflo
Bitte warten ..
Mitglied: NetzwerkDude
18.12.2019 um 12:33 Uhr
Servus,

hat jemand paar Beispiele welche Dienste / Geräte / Whatever noch kein signing machen?
Weil ich halte Ausschau nach Event 2887 - finde aber nix. Das ist zwar sicherlich gut, aber würde gerne wissen was sowas ggf. nutzen könnte
Bitte warten ..
Mitglied: pocketflo
18.12.2019 um 17:26 Uhr
Grundsätzlich Dienste welche halt LDAP Abfragen machen. Bspw. vCenter, VPN Boxen, WLANs, Apache Server etc. Wir haben einige Anwendungen bereits seit August auf dem Radar und es ist nicht immer ganz einfach das umzustellen.
Damit der Event angezeigt wird musst du aber d n ensprechenden RegKey aktivieren?
Bitte warten ..
Mitglied: Dani
18.12.2019 um 22:07 Uhr
Moin @pocketflo
Spannend das Microsoft das Datum bereits 2 mal verschoben hat. Bis vor kurzem (Ende Nov.) wsr noch von mitte Januar die Rede!
es hat sich herausgestellt, dass die Kunden eine größere Vorlaufzeit, um die Systeme/Anwendungen anzupassen. Gerade solch ein elementares Update vor Weihnachten auszuliefern, wird in größeren Umgebungnen wahrscheinlich größere Störungen verursachen.


Gruß,
Dani
Bitte warten ..
Mitglied: Dani
18.12.2019 um 22:09 Uhr
Moin,
hat jemand paar Beispiele welche Dienste / Geräte / Whatever noch kein signing machen?
hast du die drei Links in dem Artikel gelesen? Da ist das Verhalten und die dazugehörige Basics festgehalten.
Es geht um die (zukünftige) Kommunikation ziwschen Server/Anwendungen und dem Domain Controller via LDAP bzw. LDAPs (SSL/TLS/SASL).


Gruß,
Dani
Bitte warten ..
Mitglied: NetzwerkDude
19.12.2019 um 15:50 Uhr
Schon klar das es um die unsicheren LDAP anfragen geht, wollte wissen welche Dienste (eins hab ich gefunden: OTRS in einer uralt version ) das bespielhaft nutzen

Der vollständigkeit halber, hier wird noch beschrieben wie mans finden, mit einem netten PS Script für die Darstellung:
https://blogs.technet.microsoft.com/russellt/2016/01/13/identifying-clea ...
Bitte warten ..
Mitglied: Festus94
20.02.2020 um 19:41 Uhr
Hallo @Dani,

da wir bei unseren internen Vorbereitungen auf mehrere widersprüchliche Aussagen gestoßen sind, haben wir kurzerhand den Microsoft-Support kontaktiert und um eine Erklärung gebeten. Der Mitarbeiter dort hat bestätigt, dass es nicht um LDAP oder LDAPS geht. Es wird auch zukünftig möglich sein, über LDAP ohne TLS mit dem Active Directory zu sprechen. Somit ist auch Port 389 in Zukunft weiter nutzbar.

Es geht hier um die Signierung der übertragenen Daten. Ein Test mit einem unabhängigen Domänen-Controller in einer neuen Domäne und den von Microsoft genannten Settings bestätigt dies. LDAP über 389 ist absolut kein Problem. Habt Ihr bei Tests andere Ergebnisse erhalten?

Ich vergleiche mal so: Du kannst eine E-Mail über SMTP oder oder SMTP over TLS verschicken. Hier geht es um die Verbindung. Die Nachricht an sich ist davon aber unberührt. Auf der anderen Seite kannst Du eine E-Mail mit S/MIME verschlüsseln. Der Inhalt ist also nicht mehr lesbar, aber die Übertragung kann dennoch über unverschlüsseltes SMTP erfolgen.

Laut Microsoft geht es beim LDAP Signing um die übertragenen Daten, nicht um die Verschlüsselung der Verbindung. Das Update wird übrigend erneut verschoben. Aktuell ist das zweite Halbjahr angepeilt, weil sich sehr viele Kunden gemeldet haben. Der März-Patchday wird aber dennoch eine Änderung bringen: Wenn LDAP Signing unterstützt wird, dann wird dies in Zukunft angefordert. Es ist also eine Vorstufe. Danach empfiehlt sich dann natürlich, das erweiterte Logging zu aktivieren und die Ergebnisse zu prüfen.

Wichtig ist, dass die entsprechende Einstellung nur ein Registry Key ist, der per GPO überschreibbar ist. Wer in einem GPO diese Einstellung gesetzt hat, der wird also entweder schon weiter sein oder aber die Neuerung automatisch wieder zurückdrehen.

Wir suchen derzeit noch an einer Erklärung für unsere Kollegen, wie das LDAP Signing funktioniert und wie man es umsetzt. Wenn ich beispielsweise einen Webserver habe und die Applikation per LDAP(S) das Active Directory anspricht, dann weiß ich Stand heute nicht, wie ich hier Signing nutzen bzw. aktivieren kann. Habt Ihr da zufällig eine gute Quelle? Das Prinzip sollte sich ja dann allgemein ableiten lassen.

Danke und viele Grüße.

Festus94
Bitte warten ..
Mitglied: Dani
22.02.2020, aktualisiert um 13:04 Uhr
Hallo @Festus94
da wir bei unseren internen Vorbereitungen auf mehrere widersprüchliche Aussagen gestoßen sind, haben wir kurzerhand den Microsoft-Support kontaktiert und um eine Erklärung gebeten.
Falls es der MSDN/Basic/Standard Support war, würde ich keine Hand auf die Antwort und deren Verlässlichkeit verwetten.

Es geht hier um die Signierung der übertragenen Daten. Ein Test mit einem unabhängigen Domänen-Controller in einer neuen Domäne und den von Microsoft genannten Settings bestätigt dies. LDAP über 389 ist absolut kein Problem. Habt Ihr bei Tests andere Ergebnisse erhalten?
Ja und Nein. Hier eine Zusammenfassung von einem Premier Field Engnieer, was wann wie (nicht mehr) funktioniert.


Gruß,
Dani
Bitte warten ..
Mitglied: Festus94
22.02.2020 um 12:50 Uhr
Hi @Dani,

es war der Premier Support. Ansonsten würde ich da auch nicht sonderlich viel drauf geben.

Der Artikel ist interessant, danke. Allerdings sagte mir der Support, dass Simple Binds auch nicht mehr funktionieren werden, wenn die Verbindung über TLS gesichert wird.

Grüße
Festus94
Bitte warten ..
Ähnliche Inhalte
C und C++

C-Sharp WPF Binding und Rechnen mit Element.With

Tipp von mayho33C und C++10 Kommentare

Hi @ All Eventuell geht es dem einen oder anderen ähnlich wie mir: WPF ist mächtig, hat aber seine ...

Microsoft

Microsoft schließt weltweit seine 82 Microsoft Stores

Information von FrankMicrosoft2 Kommentare

Laut Microsoft schließen nach 11 Jahren weltweit alle 82 Einzelhandelsgeschäfte für immer ihre Türen. Das kündigte der Softwarekonzern am ...

Microsoft

Microsoft Telefonaktivierungs App

Tipp von alik47Microsoft32 Kommentare

Hallo zusammen, ich möchte euch den MPActivator vorstellen. Es ist eine App mit der man die Telefonaktivierung speziell von ...

Humor (lol)

Mail von Microsoft (angeblich)

Information von StefanKittelHumor (lol)5 Kommentare

Moin, diese "Perle" habe ich eben erhalten: Übersetzt:

Neue Wissensbeiträge
Windows Update
Third Party Updates mit Chocolatey und Lansweeper
Anleitung von MarcoG vor 21 StundenWindows Update

Mit #Windows 10 hat Microsoft die Kumulativen Updates eingeführt und das Thema Patch Management wird in Unternehmen immer besser. ...

Datenschutz

Berliner Datenschutzbeauftragten prüfen Videokonferenz-SW

Information von Visucius vor 1 TagDatenschutz

Eine grüne Ampel erhielten kommerziell bereitgestellte Instanzen der Open-Source-Software Jitsi, etwa von Netways oder sichere-videokonferenz.de. Eine positive Bewertung erhielten ...

LAN, WAN, Wireless
Sophos Central Wireless v2.3.0-6 massive Probleme
Information von Voiper vor 3 TagenLAN, WAN, Wireless

Hallo Zusammen, wenn Ihr Sophos Central nutzt und die neuen APX Accesspoints im Einsatz habt, vermeidet das Update der ...

Off Topic
Wuebra - tech-flare
Information von tech-flare vor 4 TagenOff Topic3 Kommentare

Servus, Nein ihr seid mich nicht los Aus Wuebra wird tech-flare. Schöne Restwoche :)

Heiß diskutierte Inhalte
LAN, WAN, Wireless
AVM WLan Mesh und,mit Powerline von Fremdanbieter
gelöst Frage von AximandLAN, WAN, Wireless22 Kommentare

Moin zusammen, hat jemand Erfahrung damit ein existierendes Mesh-WLAN mit Hilfe eines fremden Powerline-Adapters zu vergrößern indem der AccessPoint ...

Netzwerkprotokolle
Cisco IOS MTU per DHCP festlegen
Frage von Windows10GegnerNetzwerkprotokolle16 Kommentare

Hallo, ich habe nun den Übeltäter gefunden, der dafür sorgt, dass manche Seiten nicht aufrufbar sind, da laufen dann ...

Netzwerkgrundlagen
Verschiedene Subnetzmaske in der Praxis: Völlig unnötig für kleine Netzwerke!?
Frage von media0815Netzwerkgrundlagen13 Kommentare

Hallo, mal eine ketzerische Frage: Ist die Verwendung unterschiedlicher Subnetzmasken in kleineren Netzwerke nicht völlig unnötig!? Oder anders gefragt: ...

Windows Server
Alternative für Windows servergespeicherte Profile
Frage von daice24Windows Server12 Kommentare

Hallo, ich benötige mal euren Rat. Wir verwenden in unserer Firma gerade servergespeicherte Profile. Alle Clients sind Windows 10 ...